Metaverse-kwestie prawne cz. 3. Prawo cywilne, dane osobowe, cyberbezpieczeństwo.
W dotychczasowych materiałach przybliżaliśmy kwestie dotyczące samego Metaverse, aspektów NFT oraz ochrony własności intelektualnej. Więcej informacji znajdziesz tutaj.
Tym wpisem chcielibyśmy zwrócić uwagę na niektóre aspekty prawa cywilnego, danych osobowych i cyberbezpieczeństwa
Prawo cywilne
Wskazywaliśmy już na problemy dotyczące wyboru prawa oraz jurysdykcji w Metavers, natomiast to tylko pewna część prawnych aspektów Metaverse.
Warto zastanowić się nad prawem własności zakupionych w Metaverse rzeczy ruchomych i nieruchomości. Pytanie o ochronę prawną takich rzeczy i nieruchomości. Co w przypadku nieuprawnionego wejścia na taką nieruchomość? Czy można kogoś pozwać za naruszenia w metaverse wobec innego awatara? A jeśli tak, to kogo?
Pytanie szczególnie ważne w kontekście podawania wszelkiego rodzaju danych osobowych i dostępu do nich.
Nasuwa się również pytanie, czy w przypadku śmierci osoby, która stworzyła awatara, można przekazać jej awatar, przypisane do niego (nabyte przez niego) wirtualne aktywa (NFT)? Z drugiej strony, czy sam awatar może umrzeć w metaverse bez śmierci osoby, która go stworzyła?
Czy prawo osoby, która stworzyła awatara jest naruszone, jeśli dobra reputacja awatara zostanie naruszona w Metaverse, lub jeśli jej awatar zostanie zhakowany i uzyskany zostanie dostęp do prywatnej komunikacji prowadzonej za pośrednictwem awatara (naruszenie prywatności), lub zostaną niewłaściwie wykorzystane jej dane osobowe związane z awatarem, które to dane osobowe dotyczą wirtualnego awatara i nie są tożsame z danymi osobowymi osoby, która stworzyła awatara (ochrona danych osobowych)?
Dla wielu problemów nie ma przepisów ani orzecznictwa, a tylko niektóre z nich mogą być uregulowane w regulaminach korzystania z Metaverse, które są publikowane przez dostawców wirtualnego świata.
Dane Osobowe
Niewątpliwie wyzwaniem w Metaverse są kwestie dotyczące prywatności i przetwarzania danych osobowych. W świecie wirtualnym Użytkownicy wchodzą w głębszą interakcję niż w samych mediach społecznościowych w związku z tym generowanych jest znacznie więcej danych osobowych.
Już na etapie tworzenia awatarów należy przeanalizować jeden z powracających dylematów prawa, a mianowicie w jakim stopniu można zezwolić na anonimowość użytkownika zapewniając przy tym bezpieczeństwo dokonywanych transakcji i innych działań w świecie wirtualnym? Rodzą się pytania o to czy działania użytkowników można moderować? W jaki sposób można zapewnić wolność słowa i ochronę godności ludzkiej, a jednocześnie możliwość identyfikacji użytkownika w przypadku nadużyć czy rozstrzygania sporów?
Rodzi się również pytanie o rodzaj zbieranych danych wykraczający poza dane standardowe jak imię i nazwisko, adres e-mail, numer telefonu, adres zamieszkania, dane geolokalizacyjne lub wizerunek (zdjęcie). Wskazuje się, że mogą o być dane dotyczące reakcji ciała czy fal mózgowych.
Wprawdzie obecnie w Metawerse nie ma technologicznych rozwiązań, które umożliwiałyby bezpośrednie przetwarzanie reakcji ciała lub fal mózgowych użytkowników, jednak rozwój technologii rejestrowania i interpretacji reakcji ciała i fal mózgowych (np. elektroencefalografia – EEG) może potencjalnie umożliwić przetwarzanie tych danych w Metaverse w przyszłości. Możliwość śledzenia reakcji ciała użytkownika, takich jak ruchy, gesty, mimika twarzy, może dostarczyć dodatkowych informacji o intencjach i emocjach użytkownika, co może być wykorzystane do zidentyfikowania użytkownika, ale nie tylko.
Analiza ruchów oczu i twarzy może pozwolić wyciągnąć dalsze wnioski na temat jego zachowania i nawyków konsumpcyjnych. Niektóre badania sugerują, że samo rozszerzenie źrenicy może być wykorzystane do wnioskowania o cechach osobowości, a technologie śledzenia wzroku mogą przewidywać decyzje danej osoby po kilku sekundach. Wszystkie te informacje powinny być przekazywane użytkownikom w jasny i przejrzysty sposób, w szczególności w odniesieniu do konsekwencji zautomatyzowanego podejmowania decyzji na podstawie danych.
Biorąc pod uwagę złożony łańcuch administratorów danych i podmiotów przetwarzających zaangażowanych w działanie świata wirtualnego, ważne jest również ustalenie statusu ochrony danych i obowiązków każdego z podmiotów. Z zastrzeżeniem możliwości technicznych i ograniczeń, należy również zapewnić prawa użytkowników w zakresie ochrony danych, dostępu do danych, żądania kopii danych, usuwania danych, możliwości wypisania się z niektórych (głównie marketingowych) procesów przetwarzania i przenoszenia danych (co również stwarza wiele technicznych wyzwań poza Metaverse).
Warto przy tym zauważyć, że technologia nie zawsze będzie w stanie sprostać wymogom obecnego prawa. Przykładowo w świecie Metaverse prawo do sprostowania i „prawo do bycia zapomnianym”, które są podstawowymi zasadami RODO nie zawsze mogą być w pełni przestrzegane, zwłaszcza w przypadku NFT. Zgodnie z RODO użytkownicy powinni mieć prawo do żądania sprostowania dotyczących ich danych osobowych ich dotyczących. Użytkownik powinien mieć również prawo do usunięcia swoich danych osobowych, gdy gromadzenie lub inne przetwarzanie danych osobowych nie jest już konieczne lub gdy osoba, której dane dotyczą, wycofała swoją zgodę na przetwarzanie danych osobowych. Jednakże w technologii blockchain, w której zapisy są trwałe i niezmienne, nie pozwalają na pełne skorzystanie z prawa do bycia zapomnianym lub poprawienie nieścisłości w danych osobowych użytkowników.
Cyberbezpieczeństwo
Niewątpliwie do ważnych aspektów prawnych świata Metaverse należy podjęcie szczególnych środków organizacyjnych i technicznych w celu zapobiegania cyberatakom. Wymaga tego duża ilość danych gromadzonych i przetwarzanych w przestrzeni cyfrowej, w tym danych osobowych. Stąd ważne by implementować środki ochrony danych, takie jak szyfrowanie, aby chronić dane osobowe użytkowników przed nieuprawnionym dostępem i kradzieżą. Istotne są również mocne zabezpieczenia kont użytkowników, takie jak dwuskładnikowe uwierzytelnianie, aby uniemożliwić nieautoryzowany dostęp do kont użytkowników. Regularne przeglądy zabezpieczeń i monitorowanie aktywności są również ważne dla wykrywania potencjalnych naruszeń bezpieczeństwa.
Nieodpowiednie środki bezpieczeństwa danych zwiększają ryzyko ich naruszenia, którego jedną z najpoważniejszych konsekwencji jest niewłaściwe wykorzystanie awatara użytkownika i kradzież tożsamości. Złośliwi atakujący mogą również uzyskać dostęp do zasobów cyfrowych użytkowników lub odwrotnie, w przypadku ataku ransomware, mogą oni uniemożliwić dostęp do zasobów cyfrowych poprzez zaszyfrowanie kluczy dostępu. Poza odpowiednią konfiguracją podstawowych ustawień bezpieczeństwa istotne jest, aby dostawcy usług metawersowych prowadzili kampanie edukacyjne dla użytkowników, które pomagają im zrozumieć zagrożenia związane z cyberbezpieczeństwem i zachęcają do podejmowania świadomych działań w celu ochrony swoich danych.
Podsumowując, wszystkie firmy zaangażowane w Metaverse na wszystkich poziomach w celu zapewnienia bezpiecznego i godnego zaufania środowiska wirtualnego, powinny uwzględniać ryzyko związane z ochroną danych i cyberbezpieczeństwem w Metaverse, dokonywać analizy wpływu swych działań na bezpieczeństwo przetwarzanych danych (ocena ryzyka), a użytkownicy powinni otrzymywać odpowiednie, przejrzyste informacje o tym, w jaki sposób ich dane osobowe są przetwarzane.
No Comments